BSI definiert Mindeststandard zur Nutzung externer Cloud-Dienste

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Mindeststandard zur Nutzung externer Cloud-Dienste veröffentlicht. Darin werden die Anforderungen an die IT-Sicherheit für jede Phase der Cloud-Nutzung definiert.

BSI, Gebäude, 2017
Mit dem Mindeststandard zur Nutzung externer Cloud-Dienste will das BSI die Basisanforderungen für die IT-Sicherheit im Cloud-Markt festlegen. (Quelle: Bundesamt für Sicherheit in der Informationstechnik)

Cloud-Dienste basieren auf einem hohen Maß an Standardisierung von Hard- und Software sowie der darauf aufbauenden Dienstleistungen. Details dieser Komplettdienstleistungen bleiben Cloud-Kunden meist verborgen. In Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten ist dabei ein hohes Maß an Vertrauen in den Cloud-Anbieter erforderlich, sodass der Informationssicherheit hier eine bedeutsame Rolle zukommt.

Um die Basisanforderungen für externe Cloud-Dienste festzulegen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt entsprechende Mindeststandards nach § 8 BSI-Gesetz (BSIG) definiert. Der Mindeststandard betrachtet außer der vorgelagerten Datenkategorisierung und Risikoanalyse den gesamten Lebenszyklus einer Cloud-Nutzung. Dies reicht von der Beschaffungs- über die Einsatz- bis hin zur Beendigungsphase. Für jede dieser Phasen werden Anforderungen an die IT-Sicherheit aufgestellt. Daneben greift der Mindeststandard die Themen Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert.

Dabei wird ein Schwerpunkt vor allem auf die Verknüpfung mit den Anforderungen des bereits veröffentlichten Anforderungskatalogs Cloud Computing des BSI (C5) gesetzt. Der C5 richtet sich vorrangig an Cloud-Anbieter und definiert mit den dortigen Basisanforderungen bereits ein Niveau der Informationssicherheit von Cloud-Diensten, das aus Sicht des BSI nicht unterschritten werden sollte. Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass mindestens die Basisanforderungen des C5 vom Cloud-Anbieter erfüllt werden und ihnen dies in geeigneter Form nachgewiesen wird, z. B. durch die Vorlage eines Prüfberichts nach C5. Auf der Grundlage dieses Berichts können Stellen des Bundes somit die Angebote von Cloud-Anbietern mit ihren eigenen Anforderungen abgleichen.

Definiertes Mindestniveau an IT-Sicherheit

Arne Schönbohm, BSI
BSI-Präsident Arne Schönbohm: „Der neue Mindeststandard sorgt insgesamt für mehr Transparenz“. (Quelle: BSI)

„Nach der Veröffentlichung des C5 setzen wir mit diesem Mindeststandard erneut ein klares Signal an den Cloud-Markt“, so BSI-Präsident Arne Schönbohm, „Cloud-Dienste basieren auf einem hohen Maß an Vertrauen in den Cloud-Anbieter, denn die Details der Cloud bleiben den Kunden meist verborgen. Der neue Mindeststandard sorgt insgesamt für mehr Transparenz und ermöglicht es, mit den Anbietern auf Augenhöhe über ein definiertes Mindestniveau an Informationssicherheit zu sprechen.“

Der vom BSI entwickelte Mindeststandard definiert ein Mindestsicherheitsniveau für die Nutzung externer Cloud-Dienste durch die Stellen des Bundes. Gleichzeitig kann das beschriebene Verfahren auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden für die eigene Cloud-Nutzung dienen.

Der Mindeststandard Nutzung externer Cloud-Dienste ist hier abrufbar.